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Method to connect at least two network segments to an access controller through 
a user identifier 



Abstract: 

The method involves storing the serial number of a data transmission device in a 
non-volatile memory element, reading out the serial number of the 
communications software in the data transmission device and generating a user 
identity from the serial number using a defined algorithm. The serial number is 
transferred to a network segment requesting the user identity before the first 
access and the user identity is generated in the requesting segment using the 
same algorithm and stored in the user database. 
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(54) Verfahren zum Verbinden von mindestens zwei Netzwerkssegmenten eines Netzwerkes mit 
einer Zugangskontrolle durch eine Benutzerkennung 



(57) Die Erfindung betrifft ein Verfahren zum Verbin- 
den von mindestens zwei Netzwerkssegmenten eines 
Netzwerkes mit Hilfe eines eine Seriennummer aufwei- 
senden Datenubertragungsgerates, bei dem fur den Zu- 
griff auf mindestens ein Netzwerkssegment mit einer 
Benutzerdatenbank die Ubertragung einer Benutzer- 
kennung fur jeden Nutzer dieses Netzwerksegmentes 
erforderlich ist, wobei der Zugriff auf das die Benutzer- 
kennung erfordernde Netzwerkssegment bei Uberein- 
stimmung der vom Benutzer ubertragenen Benutzer- 
kennung mit der in der Benutzerdatenbank gespeicher- 
ten Benutzerkennung freigegeben wird. 

Urn bei einem derartigen Verfahren die Zugangs- 
kontrolle zu verbessern, wird erfindungsgemaG vorge- 



schlagen, daG 

die Seriennummer in einem Speicherelement des 
Datenubertragungsgerat gespeichert ist, aus die- 
sem Speicherelement die Seriennummer von einer 
im Datenubertragungsgerat befindlichen Kommuni- 
kationssoftware ausgelesen und aus der Serien- 
nummer nach einem f eststehenden Algorithmus ei- 
ne Benutzerkennung erzeugt wird und 
an das eine Benutzerkennung erfordernde Netz- 
werkssegment vor dem ersten Zugriff die Serien- 
nummer ubertragen wird und dort nach einem uber- 
einstimmenden Algorithmus wie in dem Datenuber- 
tragungsgerat eine Benutzerkennung erzeugt und 
in der Benutzerdatenbank abgespeichert wird. 
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Beschroibung 

[0001] Die Erfindung betrifft ein Verfahren zum Ver- 
binden von mindestens zwei Netzwerkssegmenten ei- 
nes Netzwerkes mit Hilfe eines eine eindeutige Serien- 5 
nummer aufweisenden Daten u be rt rag ungsgerates mit 
einem Kommunikationsprogramm, das die Datenkom- 
munikation in dem Netzwerk abwickelt, bei dem fur den 
Zugriff auf mindestens ein Netzwerkssegment mit einer 
Benutzerdatenbank die Ubertragung einer Benutzer- io 
kennung fur jeden Nutzer dieses Netzwerksegmentes 
erfordertich ist, wobei der Zugriff auf das die Benutzer- 
kennung erfordernde Netzwerkssegment bei Uberein- 
stimmung der vom Benutzer ubertragenen Benutzer- 
kennung mit der in der Benutzerdatenbank gespeicher- is 
ten Benutzerkennung freigegeben wird. 

1. Hintergrund der Erfindung 

[0002] Einzelplatzsystem ist die Bezeichnung fOr ein 20 
Computersystem, an dem im Gegensatz zu einem Netz- 
werk zur gleichen Zeit nur ein Benutzer arbeiten kann. 
Im Zuge der zunehmenden Bedeutung von Netzwerken 
ergeben sich Sicherheitsfragen, da in der Regel nicht 
jeder Benutzer auf alle Daten innerhalb eines Netz- 2s 
werks zugreifen konnen soil. Ein Netzwerk besteht aus 
mehreren Netzwerkssegmenten, die untereinander, re- 
gelmaBig Qber eine Leitung verbunden sind. Ein Netz- 
werkssegment kann ein LAN (Local Area Network), ein 
WAN (Wide Area Network) Oder auch nur ein einzelner 30 
Personalcomputer sein. 

[0003] Die Nutzung einzelner Netzwerkssegmente ist 
oft mit der Zahlung eines Entgelts verknupft, so daB die 
Identitat des Benutzers zu Abrechnungszwecken fest- 
gestellt werden muG. Oblicherweise erfolgt die Zu- 35 
gangs kontrolle (Authentisierung) des Benutzers mit Hil- 
fe eines bekannten (offentlichen) Benutzernamens und 
eines (geheimen) PaGwortes (Benutzerkennung). 

Ablauf: 40 

[0004] 

a) Der Benutzer meldet sich durch Eingabe von Be- 
nutzernamen und PaGwort (Benutzerkennung) an 4S 
dem entgeltpflichtigen Netzwerkssegment an. 

b) Im angesprochenen Netzwerkssegmentes wird 
mit Hilfe einer Benutzerdatenbank, die alle Benut- 
zernamen mit den dazugehorigen PaGwortern ent- so 
halt, geprufl, ob der Benutzer das gultige PaGwort 
eingegeben hat. 

Diese Benutzerdatenbank enthalt auGerdem 
eine Liste mit benutzerspezifischen Zugriffsrech- 
ten, die regeln, welcher Benutzer auf welche Daten- ss 
bestande wie zugreifen darf. 

c) Stimmt das eingegebene Paar Benutzemame/ 



06 A2 2 

PaGwort mit den Eintragen in der Benutzerdaten- 
bank Oberein, wird von dem Netzwerkssegment die 
Benutzung mit den in der Benutzerdatenbank fest- 
gelegten Zu griff srechten freigegeben. 

d) Nach ausdrucklicher Abmeldung des Benutzers 
oder nach Ablauf einer bestimmten Zeit, in der kei- 
ne Eingaben des Benutzers erfolgen, sperrt das 
Netzwerkssegment die Benutzung wieder. 

2. Stand der Technik 

[0005] 

2.1 Dieses Verfahren zur Authentisierung der Be- 
nutzer wird in alien gangigen Betriebsystemen fur 
PC-basierende Netzwerke angewandt, z.B. Win- 
dows NT, Solaris, Linux. 

2.2 Der Nachteil des Verfahrens wird insbesondere 
bei wachsenden Benutzerzahlen im Netzwerk of- 
fenbar. Der systemseitige Verwaltungsaufwand in 
dem entgeltpflichtigen Netzwerkssegment steigt 
proportional mit der Anzahl der Benutzer dieses 
Netzwerksegments. Je hoher die Benutzerzahl ist, 
desto hoher wird auch die Wahrscheinlichkeit von 
Eingabefehlern, da modeme Betriebssysteme den 
Zugang zu dem Netzwerksegment nach einer vor- 
gegebenen Hochstzahl von erfolglosen Einloggver- 
suchen sperren. Dann muG der Administrator des 
Netzwerksegmentes tatig werden, urn den Benut- 
zer wieder freizuschalten und ihm eine neues 
PaGwort zuzuteilen. Dies kostet Zeit und erfordert 
personellen Aufwand. Dieser Effekt wird noch ver- 
starkt dadurch, daG sich durch die ansteigende Zahl 
von erforderlichen Admin istratoren zusatzliche 
Kommunikationsprobleme untereinander ergeben. 

Auf der Benutzerseite ergibt sich insbesondere 
fur die im Umgang mit Netzwerken unerfahrenen 
Benutzer das Problem, daG die ausgewahlte Nut- 
zerkennung fur den Zugang zum Netzwerk wieder- 
um in das eigene EDV-System vor miBbrauchlichen 
Fremdzugriffen und fur den Fall von Datenverlust, 
beispielsweise aufgrund eines "Systemabsturzes" 
geschutzt gespeichert werden muG. 

Im Ergebnis stellt sich fur diese Benutzergrup- 
pe die moderne Netzwerktechnik oft als zu komplex 
und nicht handhabbar dar. Da aber das mit weitem 
Abstand wichtigste Netzwerk der Gegenwart - das 
Internet - eine bedeutende Quelle des Wissens und 
ein fur Untemehmen und Privatpersonen immer 
wichtiger werdendes Kommunikationsmittel ist, er- 
gibt sich das Bedurfnis die Nutzung zu vereinfachen 
und damit auch unerfahrenen Benutzern zu eroff- 
nen. 

2.3 Bisherige Losungsversuche konnen auf die un- 
ter 1. beschriebene Authentisierung nicht verzich- 
ten, sei es durch direkte Eingabe der Nutzerken- 
nung oder durch indirekte Eingabe, z.B. mittels ei- 



2 



3 



EP 1 035 706 A2 



4 



ner Codecarte, die in ein Kartenlesegerat gescho- 
ben werden muG. Die bekannten Losungen basie- 
ren daher uberwiegend auf einem belehrenden An- 
satz. Der Benutzer wird, in der Regel im Benut- 
zungsvertrag, auf die Wichtigkeit der Benutzerna- 
me/PaBwort-Kombination (Benutzerkennung), die 
Notwendigkeit der Geheimhaltung sowie die mog- 
lichen Folgen bei Nichtbeachtung hingewiesen. 

Die Erfahrung zeigt, da3 der Benutzungsver- 
trag kaum bzw. nur sehr oberflachlich gelesen und 
dessen Inhalt schnell wieder vergessen wird. Der 
Verlust der Nutzerkennung wird durch die heutigen 
Betriebssysteme, die die Nutzerkennung unsicht- 
bar speichem, sogar noch begunstigt. Gehtdie Nut- 
zerkennung beispielsweise durch eine defekte 
Festplatte verloren, werden die Betreiber von Netz- 
werken, insbesondere entgeltpflichtigen Netz- 
werkssegmenten, z.B. Internet-Provider, regelma- 
Big mit Anf ragen von Benutzern konfrontiert, die ih- 
re Nutzerkennung vergessen haben und daher ein 
neues PaBwort bendtigen. 
2.4 Als Alternative zu der Authentisierung der Be- 
nutzerkennung durch Datenbankvergleich ist eine 
auch als Dongleoder Kopierschutzstecker bezeich- 
nete Vorrichtung bekannt, in der ein Code dauerhaft 
gespeichert ist, der allgemeine Oder spezifische Be- 
nutzerdaten enthalt. Der Dongle muB an dem PC 
des jeweiligen Benutzers angeschlossen werden. 
Damitder Benutzer auf Programme innerhalb eines 
Netzwerks zugreifen kann, fragt das Programm zu- 
nachst den im Dongle gespeicherten Code ab. Die- 
ses Verfahren wurde in der Vergangenheit insbe- 
sondere als Software- Kopierschutz eingesetzt. Zu 
den hohen Kosten fur Dongles kommen auch noch 
andere Nachteile hinzu. : Will man fur den Zugang 
zu einem Netzwerkssegment einen anderen Perso- 
nalcomputer benutzen, muB man das Dongle ab- 
schrauben und emeut montieren. AuGerdem ist 
nicht gewahrleistet, daB Dongles mit jeder Hard- 
ware funktionieren. Fur moderne Zugangskontrol- 
len ist der Dongle daher unbrauchbar und befindet 
sich auch als Kopierschutz auf dem Ruckzug. 

3. Aufgabe 

[0006] Ausgehend von diesem Stand der Technik 
liegt der Erfindung daher die Aufgabe zugrunde, ein Ver- 
fahren zum Verbinden von mindestens zwei Netzwerk- 
segmenten mit verbesserter Zugangskontrolle zu schaf- 
fen. 

4. Erfindungsbeschreibung 
[0007] 

4.1 Die Verfahren zur Zugangskontrolle von Benut- 
zern eines ersten Netzwerksegmentes (Client), z. 
B. ein einzelner Personalcomputer, zu einem Netz- 



werkssegment (Server), z.B. ein Zugangsrechner 
eines Internet- Providers, mittels einer Benutzer- 
kennung sind praktisch fur samtliche Netzarten ein- 
heitlich. Die Erfindung setzt daher auf der Benutzer- 

s seite an. 

Als Kopplungselement zwischen den Netz- 
werkssegmenten wird ublicherweise ein sog. Rou- 
ter (Gateway) eingesetzt. Dieser authentisiert sich 
wie Qblich mit Hiffe einer Benutzerkennung bei dem 

10 mit ihm gekoppelten Netzwerkssegment. Die vor- 
liegende Erfindung macht sich nun die Tatsache zu- 
nutze, daB Router einzelner Hersteller eine eindeu- 
tige Seriennummer besitzen, die in einem nicht- 
fluchtigen Speicherelement gespeichert wird. Die- 

15 ser Speicher kann von der im Router befindlichen 
Kommunikationssoftware ausgelesen werden. Ei- 
ne miGbrauchliche Verwendung einer Seriennum- 
mer ist praktisch ausgeschlossen, da sie die Kennt- 
nis der Vergabe von Seriennummem beim Herstel- 

20 ler voraussetzt. Somit ist eine genugend hohe Si- 
cherheit gegen Fremdeingriffe gegeben. 

Die Kommunikationssoftware des Routers ist 
erfindungsgemaB urn einen feststehenden Algo- 
rithmus erweitert, der aus der eindeutigen Serien- 

25 nummer eine ebenso eindeutige Benutzerkennung, 
insbesondere aus Benutzername und PaBwort er- 
zeugt. Dem Betreiber des die Eingabe einer Nutzer- 
kennung erfordernden Netzwerksegmentes ist die- 
ser feststehende Algorithmus ebenfalls bekannt. 

30 

4.2 Im einzelnen wird die Aufgabe durch die Merk- 
male des Anspruchs 1 gelost. Aus der Seriennum- 
mer des Datenubertragungsge rates, insbesondere 
Routers, wird die Benutzerkennung, insbesondere 

35 aus einem Benutzername sowie einem eindeutigen 
und nicht reversibel entschlusselbaren PaBwort, 
mit Hilfe des Algorithmus erzeugt. 

AuBerdem wird die Seriennummer an das eine 
Benutzerkennung erfordernde Netzwerkssegment 

40 vor dem ersten Zugriff ubertragen und dort nach 
demselben Algorithmus wie in dem Datenubertra- 
gungsgerat eine Benutzerkennung erzeugt und in 
der Ben utzerdaten bank abgespeichert. 

Die Geheimhaitung beschrankt sich somit auf 

45 die unmittelbar betroffenen Mitarbeiter von Router- 
Hersteller und dem Betreiber des die Eingabe einer 
Benutzerkennung erfordernden Netzwerksegmen- 
tes. 

Zur Erzeugung des nicht reversibel entschlus- 
50 selbaren PaBwortes aus der Seriennummer wird 
vorzugsweise als Algorithmus eine Hashfunktion, 
insbesondere die Hashfunktion MD5 verwendet. 
Der "Message Digest 5" Algorithmus wurde von R. 
Rivest und S. Dusse als komplexe one-way- Hash- 
es funktion entwickelt. 

Fur den Fall, daB unbefugten Dritten doch ein- 
mal eine Benutzerkennung bekannt wird, besteht 
die Moglichkeit, im Router eine neue Benutzerken- 
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nung entsprechend den Merkmalen des Anspruchs 
5 unabhangig von der auf der Basis der Seriennum- 
mer rechnenden Kommunikationssoftware zu hin- 
terlegen, indem der Anwender uber das Konfigura- 
tionsprogramm des Routers eine neue Nummer ge- 
neriert. 

4.3 Der mit dem erfindungsgemaGen Verfahren er- 
zielbare Vorteil besteht darin, daG der Benutzer kei- 
nerlei Eingriffe am Router vornehmen muG. Es ge- 
nugt, an den Betreiber des die Eingabe einer Be- 
nutzerkennung erfordemden, insbesondere ent- 
geltpflichtigen Netzwerksegmentes, z.B. einen In- 
ternet-Provider, die Seriennummer des Routers zu 
ubertragen. Diese ist auf jedem Router aufge- 
druckt. 

AuGerdem erhoht das Verfahren auch die Si- 
cherheit gegen das Ausspionieren von Benutzer- 
kennungen, da deren Einzelheiten auf keinem Do- 
kument mehrfestgehalten werden mussen (z.B. auf 
einem Telefax an den Netzwerkbetreiber) und somit 
nicht von Unbefugten eingesehen werden konnen. 

Durch die Einfachheit des Verfahrens fur den 
Benutzer erhoht sich deutlich die Akzeptanz zur 
Nutzung von insbesondere kostenpflichtigen Netz- 
werkssegmenten, z.B. um uber einen Zugangs- 
rechner eines Internet-Providers eine Verbindung 
zum Internet aufzubauen. Durch das vereinfachte 
Zugangsverfahren und den Wegfall des mit der Ge- 
heimhaltung des PaBwortes verbundenen Verwal- 
tungsaufwandes wird einem deutlich groGeren Be- 
nutzerkreis der einfache Zugang zu einzelnen Netz- 
werkssegmenten, insbesondere dem Internet er- 
moglicht. 



Patentanspruche 

1. Verfahren zum Verbinden von mindestens zwei 
Netzwerkssegmenten eines Netzwerkes mit Hilfe 
eines eine eindeutige Seriennummer aufweisenden 
Datenubertragungsgerates mit einem Kommunika- 
tionsprogramm, das die Datenkommunikation in 
dem Netzwerkabwickelt, bei dem fur den Zugriff auf 
mindestens ein Netzwerkssegment mit einer Benut- 
zerdatenbank die Ubertragung einer Benutzerken- 
nung fur jeden Nutzer dieses Netzwerksegmentes 
erforderlich ist, wobei der Zugriff auf das die Benut- 
zerkennung erfordemde Netzwerkssegment bei 
Ubereinstimmung der vom Benutzer ubertragenen 
Benutzerkennung mit der in der Benutzerdaten- 
bank gespeicherten Benutzerkennung f reigegeben 
wird, dadurch gekennzeichnet, daG 



gungsgerat befindlichen Kommunikationssoft- 
ware ausgelesen und aus der Seriennummer 
nach einem feststehenden Algorithmus eine 
Benutzerkennung erzeugt wird und 

5 - an das eine Benutzerkennung erfordemde 
Netzwerkssegment vor dem ersten Zugriff die 
Seriennummer ubertragen wird und dort nach 
einem ubereinstimmenden Algorithmus wie in 
dem Datenubertragungsgerat eine Benutzer- 

10 kennung erzeugt und in der Benutzerdaten- 

bank abgespeichert wird. 

2. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet, daG ein Router als Datenubertragungs- 

15 gerat verwendet wird. 

3. Verfahren nach Anspruch 1 oder 2, dadurch ge- 
kennzeichnet, daG die Benutzerkennung aus ei- 
nem Benutzernamen sowie einem nicht reversibel 

20 entschlusselbaren PaGwort besteht. 

4. Verfahren nach Anspruch 3, dadurch gekenn- 
zeichnet, daG zumindest zur Erzeugung des nicht 
reversibel entschlusselbaren PaGwortes aus der 

25 Seriennummer eine Hashfunktion, insbesondere 
die Hashfunktion MD5 verwendet wird. 

5. Verfahren nach einem der Anspruche 1 bis 4, da- 
durch gekennzeichnet, daG 

30 

der Anwender uber das Konfigurations-Pro- 
gramm des Datenubertragungsgerates eine 
neue Nummer generieren kann, die die Serien- 
nummer des Datenubertragungsgerates er- 
as setzt, 

von der im Datenubertragungsgerat befindli- 
chen Kommunikationssoftware aus der neuen 
Nummer nach dem feststehenden Algorithmus 
eine neue Benutzerkennung erzeugt wird und 
^0 - an das eine Benutzerkennung erfordemde 
Netzwerkssegment vor dem ersten Zugriff mit 
der neuen Benutzerkennung die neue Nummer 
ubertragen wird und dort nach dem uberein- 
stimmenden Algorithmus wie in dem Daten- 
4$ Qbertragungsgerat eine neue Benutzerken- 

nung erzeugt und in der Benutzerdatenbank 
abgespeichert wird. 
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die Seriennummer in einem nichtfluchtigen ss 
Speicherelement des Daten Qbertragungsgerat 
gespeichert ist, aus diesem Speicherelement 
die Seriennummer von der im Datenubertra- 
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